BIOLOAD
FIN7 ist eine finanziell motivierte Gruppe von Bedrohungsakteuren, die sich auf Angriffe gegen Unternehmen in verschiedenen Regionen spezialisiert haben. Eine ihrer bemerkenswerten Malware-Familien ist BOOSTWRITE, und Cybersecurity-Forscher haben kürzlich eine weitere Malware-Familie entdeckt, die Ähnlichkeiten mit BOOSTWRITE zu haben scheint - die neue Bedrohung wird BIOLOAD genannt. BIOLOAD erfüllt den Zweck eines Trojaner-Loaders - eine Malware, die eine schädliche Nutzlast laden und auf den betroffenen Hosts sicher ausführen soll.
Oft haben Trojaner-Loader austauschbare Payloads, aber bei BIOLOAD ist das etwas anders - die Malware ist auf jedes System zugeschnitten, das sie infiziert. Es enthält eine eindeutige Nutzlast, die verschlüsselt ist, und der BIOLOAD Loader erhält den Entschlüsselungsschlüssel, indem er den Namen des kompromittierten Computers in Kombination mit anderen in die Datei des Loaders eingebetteten Informationen verwendet.
Bisher hat FIN7 BIOLOAD mit nur einer Bedrohung verwendet - dem berüchtigten Carbanak Banking Trojaner. Es ist möglich, dass der BIOLOAD-Loader in Zukunft mit anderen Malware-Familien verwendet werden kann. Derzeit ist jedoch keine Verwendung anderer Malware dokumentiert.
BIOLOAD lädt die eingebettete Payload, indem eine neue geplante Task erstellt wird, die so programmiert ist, dass die Payload 30 Sekunden nach dem Start von Windows gestartet wird. Die Malware verfügt auch über grundlegende Anti-Debugging- und Sandbox-Ausweichmodule, mit denen sie Umgebungen erkennt, die für die Malware-Forschung verwendet werden, und den Angriffsprozess stoppt.
FIN7 hat sich für gezielte Angriffe mit dem BIOLOAD Loader entschieden, und es scheint, dass die Gruppe Aufklärungsinstrumente verwendet hat, um Informationen über die Ziele der BIOLOAD-Kampagne zu sammeln.
